G/On Server

Der G/On Server stellt in Form einer virtuellen Appliance sämtliche Kernfunktionen zur Verfügung und sorgt für die physische Trennung der Clients vom Servernetzwerk.


Virtuelle Server Appliance

 

Ein G/On Server besteht aus einem oder mehreren G/On Gateway Servern und dem G/On Management Server. Er stellt alle Funktionen bereit, die für den sicheren Zugriff der Nutzer auf ihre Anwendungen erforderlich sind, ohne die für VPN-Umgebungen typische Komplexität. Dadurch ergeben sich vielfältige Möglichkeiten zur Vereinfachung der IT-Strukturen und Senkung der Kosten.

Technisch ist der G/On Server ein Port-Weiterleitungs-Proxy mit einer integrierten, auf applikationsebene arbeitenden Firewall, die ein Protokoll auf Applikationsebene für die Kommunikation mit den G/On Clients unterstützt.


Der G/On Server implementiert folgende Funktionen:

Whitelist-Firewall auf Applikationsebene

Der G/On Gateway Server und der G/On Client inspizieren den gesamten Datenverkehr und entscheiden, was erlaubt ist und was abgelehnt wird. G/On ist nicht nur eine alleinstehende Firewall, sondern kontrolliert die gesamte End-to-End Kommunikation und erlaubt nur den Datenverkehr von authentifizierten Nutzern auf autorisierte Anwendungen. Dadurch unterscheidet sich die Lösung deutlich von herkömmlichen, applikationsbasierten Firewalls.

G/On kennt den User, den Applikationsclient und die Applikationsserver für jedes einzelne Datenpaket, das transportiert wird. Diese Informationen werden ausgewertet, um zu entscheiden, was weiterzuleiten und was abzulehnen ist. Da die Firewall whitelist-basiert arbeitet, ist grundsätzlich nichts erlaubt, was der G/On Server nicht zuvor autorisiert hat. Ein Whiteliste-Verfahren lässt sich nicht durch das Vergessen einer Regel oder eine fehlerhafte Regel aushebeln (Beispiel: Vergessene „Deny-All“ Regel).

Proxy-Funktionalität

Der G/On Gateway Server implementiert die G/On Proxy Funktionaliät, um externe Verbindungen der Applikationsclients von den internen Verbindungen auf das Servernetzwerk zu trennen (virtuelle End-to-End Connectivity). Technisch endet die TCP-Verbindung der jeweiligen Anwendung am lokalen Loopback des entfernten Client-Computers. Hier initialisiert G/On einen Listener, der via Prozesskontrolle die Datenherkunft prüft und ausschliesslich Daten von zugelassenen Applikationen übermittelt (lock to process). Während ein Tunnel immer alle Informationen bis zur Appliance überträgt, verlassen unerwünschte Daten bei G/On gar nicht erst den Client-PC. Somit steht die verfügbare Bandbreite in vollem Umfang für die Übertragung von Nutzdaten zur Verfügung und wird nicht durch unnötigen Ballast reduziert.

Die Transportengine verpackt Protokolle wie TCP, SSL oder HTTPS noch vor dem Versand auf dem Client in das EMCADS®-Protokoll, übermittelt die Informationen verschlüsselt und entpackt sie im Unternehmen am G/On-Server wieder in das ursprüngliche Format. Genau dort endet auch physisch die Verbindung von außen. Der G/On-Server baut eine neue TCP-Verbindung zum jeweiligen Anwendungsserver auf. Es besteht also nie eine direkte Verbindung von aussen ins Firmennetzwerk.

Netzwerk- und Applikationszugriffskontrolle

Im Gegensatz zu einem Standard Network Admission Control (NAC), stellt G/On keinen Zugriff auf das Netzwerk zur Verfügung. Die G/On Architektur ist vielmehr so aufgebaut, dass detaillierte Informationen über Endusergeräte gesammelt und als Teil einer vollständigen Autorisierungsentscheidung verwendet werden (Device Authentication).

Nur Verbindungen von authentifizierten Nutzern und authentifizierten Anwendergeräten können für den Zugriff auf spezifische Anwendungen über spezifische Applikationsclients autorisiert werden. Wo also klassische NAC Systeme entscheiden, welche Geräte auf das gesamte Netzwerk zugreifen dürfen (und in welchem Zustand diese Maschinen sein müssen), richtet G/On den Fokus auf den Nutzer und die Applikation - und genau diese Information entscheidet, ob das Gerät, das der Anwender gerade benutzt, am G/On Server bekannt ist oder nicht. Dies ist eine weitaus einfachere Autorisierungsentscheidung, da sie darauf basiert, welche Aktion der Nutzer auszuführen versucht - anstatt nur das Gerät zu untersuchen und außer Acht zu lassen, was der Anwender tut, nachdem er einen Zugriff erhalten hat.

User-Authentifizierung

Sinnvolle Sicherheitsrichtlinien erfordern die Identitätsprüfung eines Remoteanwenders durch verschiedene Multi-Faktor-Authentifizierungslösungen. Solche Verfahren werden jedoch komplex, sobald das Unternehmen verschiedene Technologien und Richtlinien für eine starke Authentifizierung kombiniert. G/On ermöglicht die Konsollidierung verschiedener Authentifizierungstechnologien und Richtlinien in einer einzelnen, einfach zu verwaltenden Plattform.

Bei G/On kommt eine 2-Faktor Authentifizierung mit Hardware-Token („etwas, das man haben muss“) plus Benutzername/Passwort („etwas, das man wissen muss“) zum Einsatz. Die Authentifizierung erfolgt online mit Random-Faktoren. Diese sind servergeneriert und weder berechenbar noch abfangbar oder ausspähbar (im Gegensatz zu einer PIN oder einem OTP).

Implementieren und Durchsetzen von Policies

Der G/On Management Server bietet dem IT-Administrator eine zentrale Administrationoberfläche (Single Point of Administration) und genau einen „Single-Point of Failure“ im Hinblick auf Implementierung, Dokumentierung und Durchsetzung von Zugriffssicherheitsrichtlinien. Im Fehlerfall („Zugriff nicht möglich“) muss lediglich eine Komponente (der G/On Server) untersucht werden. Hierfür liefert das Reporting die notwendigen Informationen.

XML-formatierte Protokolle des Datenverkehrs ermöglichen ereignisbasierte Alarmmeldungen sowie zentrale Auswertungs- und Reportingoptionen für interne, sowie externe Audits (Compliance, Ausführungsbestimmungen usw.). G/On bietet für die Revision ein Reporting der möglichen Verbindungen eines Benutzers. Dadurch ist für jeden Benutzer klar prüfbar, ob die definierten Policies korrekt umgesetzt werden (prüfbar durch die Revision, prüfbar durch den Administrator).

Die richtige Lösung für jede Unternehmensgrösse

Der G/On Server ist in den folgenden drei Varianten lieferbar:
Feature Small Business Business Enterprise Info
Anzahl User bis 5 User ab 5+ User Grossunternehmen
Menu Items included 10 20 100
HTTP Encapsulation
Multiple Client Connect IP Ports
MS Active Directory User Directory
Multiple Client Connect IP Addresses
RDP Connector
Citrix ConnectorCitrix Connector
Proxy Connector für HTTP & SOCKS
Additional 1 Gateway Server
MS SQL Server Database
LDAP User Directory


Der Small Business Server unterstützt kein serverseitiges Single Sign-On. Für die Anbindung von mobilen Devices (iPad, iPhone usw.) mit serverseitigem Single Sign-On ist ein Business Server erforderlich.

Screenshots